Flowfy KI-Ratgeber DSGVO und KI 2025: Was darfst du wirklich? (Praktischer Guide)
DSGVO und KI — was du wirklich darfst, praktisch erklärt
KI-Ratgeber

DSGVO und KI 2025: Was darfst du wirklich? (Praktischer Guide)

📅 6. Juni 2025 ✏️ Aktualisiert am 17. April 2026 ⏱ ca. 7 Min. Lesezeit ✍️ Chris

Du möchtest KI im Business einsetzen, aber beim Gedanken an DSGVO und KI wird dir unwohl? Willkommen im Club. DSGVO und KI zusammenzubringen wirkt komplex, ist aber in der Praxis handhabbarer als viele denken — wenn man ein paar Grundregeln kennt.

Dieser Guide erklärt, was du in Deutschland rechtlich wirklich darfst. Kein juristisches Fachchinesisch, sondern konkrete, praxisnahe Regeln für den KI-Alltag bei Selbständigen, KMU und Privatnutzern.

Wichtiger Hinweis vorweg: Ich bin kein Anwalt. Dieser Artikel gibt Orientierung, ersetzt aber keine individuelle Rechtsberatung. Bei wichtigen geschäftlichen Entscheidungen konsultiere einen Fachanwalt oder deinen Datenschutzbeauftragten.

Was die DSGVO bei KI regelt (und was nicht)

Die DSGVO regelt den Umgang mit personenbezogenen Daten — also Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Konkret bei KI:

  • Fällt darunter: Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Fotos, Stimmaufnahmen, IP-Adressen, Kundenprofile, Mitarbeiterdaten
  • Fällt nicht darunter: Anonymisierte Daten, allgemeine Fachinformationen, Produktbeschreibungen, öffentlich bekannte Fakten

Wenn du eine Idee für einen Blog-Artikel mit Claude brainstormst: kein DSGVO-Fall. Wenn du einen echten Kundennamen mit Details zur Vertragssituation eingibst: klarer DSGVO-Fall.

Die zwei zentralen Fragen

Für jede KI-Nutzung im Business-Kontext:

  1. Verarbeitest du personenbezogene Daten? Wenn nein: entspannt. Wenn ja: weiterlesen.
  2. Wohin fließen diese Daten? Bleiben sie anonym? Werden sie ans Modell-Training weitergereicht? Verlassen sie die EU?

Die Antworten darauf bestimmen, was du tun musst.

Die drei DSGVO-Risikostufen bei KI

Stufe 1: Komplett unproblematisch

Wenn du KI nur für Ideenfindung, allgemeine Texte, Erklärungen oder anonymisierte Aufgaben nutzt — keine besonderen Vorkehrungen nötig.

Beispiele:

  • Blog-Artikel zu einem allgemeinen Thema schreiben lassen
  • Eine E-Mail ohne persönliche Empfängerdaten entwerfen
  • Wissenschaftliche Konzepte erklären lassen
  • Marketing-Ideen brainstormen

Stufe 2: Anonymisierungspflicht

Sobald du mit kundenspezifischen Informationen arbeitest, aber noch kein direkter Datenschutzvorfall droht.

Beispiele:

  • Eine E-Mail an “einen Kunden in bestimmter Situation” schreiben
  • Eine Strategie für “unser B2B-Kundensegment” entwickeln
  • Marketing für “typische Personas” planen

Pflicht: Anonymisieren. Statt “Kunde Müller aus Köln” schreibst du “Kunde A in Metropolregion”.

Stufe 3: Erhöhte Anforderungen

Wenn du tatsächlich personenbezogene Daten in die KI gibst — was nur mit klaren Rechtsgrundlagen zulässig ist.

Beispiele:

  • Kundendaten-Analysen mit echten Identifikatoren
  • Mitarbeiterbewertungen mit Namen
  • Gesundheitsdaten von Patientinnen (besonders sensibel!)
  • Chat-Protokolle mit Kundennamen

Pflicht: Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter, Rechtsgrundlage prüfen, evtl. Datenschutz-Folgenabschätzung, bei sensiblen Daten besondere Genehmigungen.

Was die großen KI-Anbieter in Sachen DSGVO bieten

ChatGPT (OpenAI)

  • Kostenlose/Plus-Version: Eingaben werden zum Training verwendet (kannst du in Einstellungen deaktivieren)
  • ChatGPT Team/Enterprise: Keine Trainingsnutzung, AVV verfügbar
  • Serverstandort: USA, aber EU-US Data Privacy Framework zertifiziert
  • Praxistipp: Für Business-Einsatz mit Kundendaten nur Team/Enterprise nutzen

Claude (Anthropic)

  • Kostenlose Version: Eingaben können zum Training genutzt werden
  • Claude Pro: Keine Trainingsnutzung laut Anthropic-AGB
  • Claude for Work / Enterprise: AVV verfügbar, strengere Garantien
  • Serverstandort: USA, DPF-zertifiziert

Gemini (Google)

  • Kostenlose Version: Eingaben gehen in Google-Produkte ein
  • Google Workspace: Integrierter Datenschutz, kein Training auf deinen Daten
  • Vorteil: Wenn du schon Google Workspace nutzt, ist Gemini DSGVO-technisch der einfachste Weg

Copilot (Microsoft)

  • Microsoft 365 Copilot: Klare Datenschutzzusagen für Business-Kunden
  • Vorteil: Oft bereits in Firmen-Lizenzen enthalten, Einbindung in Microsoft 365 einfach

Die 6 wichtigsten Regeln für DSGVO-konforme KI-Nutzung

Regel 1: Anonymisiere, wo immer möglich

Die einfachste und sicherste Methode. Statt echter Namen nutzt du Platzhalter: “Kunde A”, “Firma X”, “Mitarbeiter B”. Bei geografischen Angaben: “im süddeutschen Raum” statt “in München-Schwabing”.

Die meisten KI-Use-Cases funktionieren mit anonymisierten Daten genauso gut.

Regel 2: Kein Upload sensibler Kategorien

Besonders geschützt sind: Gesundheitsdaten, religiöse/politische Überzeugungen, sexuelle Orientierung, ethnische Herkunft, Biometrie. Diese Kategorien gehören nicht in eine normale KI — auch nicht anonymisiert, wenn die Identität rekonstruiert werden könnte.

Regel 3: AVV abschließen bei Business-Nutzung

Wenn du KI für geschäftliche Zwecke nutzt und dabei Kundendaten ins Spiel kommen: Auftragsverarbeitungsvertrag mit dem Anbieter. Anthropic, OpenAI und Google bieten Vorlagen für ihre Business-Kunden.

Regel 4: Informiere deine Nutzer

Wenn deine Website oder App KI nutzt — in der Datenschutzerklärung erwähnen. Beispielsätze:

“Dieser Dienst nutzt [Anbieter] für [Zweck]. Deine Eingaben werden zu folgenden Zwecken verarbeitet: […]. Rechtsgrundlage: […].”

Wenn KI nur im Hintergrund läuft (z. B. beim Blogschreiben), ist keine Info nötig.

Regel 5: Serverstandort und Datenpfad prüfen

EU-Server sind pauschal unproblematisch. US-Server brauchen das Data Privacy Framework (das aktuelle Rechtskonstrukt nach Schrems II). Alle großen Anbieter sind zertifiziert — checke aber, ob sie das auch für deine konkrete Nutzung bestätigen.

Regel 6: Rechte der Betroffenen wahren

Wenn jemand fragt “Welche Daten habt ihr von mir?” — musst du auch die KI-Verarbeitung in der Antwort berücksichtigen. Auskunftsrecht gilt auch dort.

Konkret: So nutzt du KI DSGVO-konform als Selbständige

Szenario: Du willst Claude zum Schreiben von Kunden-E-Mails nutzen.

DSGVO-konforme Vorgehensweise:

  1. Kein echter Kundenname in den Prompt. Statt “Schreibe eine E-Mail an Herrn Müller…” → “Schreibe eine E-Mail an einen langjährigen Kunden…”
  2. Keine vertraulichen Details. Statt “…der seit März 40.000 € Außenstände hat…” → “…der eine ausstehende Rechnung hat…”
  3. Rahmen definieren: Ton, Länge, Zweck — alles ohne personenbezogene Daten.
  4. Claude liefert Template. Du setzt dann die echten Details manuell ein.

Resultat: Du nutzt den Schreibstil-Nutzen der KI, ohne personenbezogene Daten zu übermitteln.

Mehr zu diesem Workflow im Artikel E-Mails mit KI schreiben.

DSGVO + EU AI Act: Was 2025 neu ist

Der EU AI Act trat 2024 in Kraft und wird seit 2025 stufenweise anwendbar. Er ergänzt die DSGVO um KI-spezifische Regeln:

  • Hochrisiko-KI (z. B. medizinische Diagnose, Jobbewerber-Screening): besondere Genehmigungen nötig
  • Transparenzpflicht: Wenn ein Dienst KI-Content erzeugt (Chatbot, KI-Bilder), muss das gekennzeichnet werden
  • Verbot von Social-Scoring-KI und bestimmten Überwachungssystemen

Für die meisten Selbständigen und KMU: keine dramatische Änderung, aber Transparenz ist Pflicht. Wenn du einen KI-Chatbot auf deiner Website hast, muss klar erkennbar sein, dass es eine KI ist.

Häufige Fehler bei DSGVO und KI

Fehler 1: “Es merkt ja keiner.” Unsichtbar heißt nicht erlaubt. DSGVO-Verstöße kommen oft erst bei Kundenbeschwerden oder Audits ans Licht. Bußgelder bis 4% des Jahresumsatzes möglich.

Fehler 2: Annahme, dass EU-Tools automatisch sicher sind. Auch deutsche oder europäische KI-Tools können DSGVO-Probleme haben, wenn sie z. B. US-Subunternehmer nutzen. Datenpfad checken.

Fehler 3: Kein AVV mit dem Anbieter. Bei Business-Nutzung ohne AVV bist du rechtlich im Graubereich. Die AVV-Abschlüsse sind bei allen großen Anbietern Standard — einfach anfordern.

Fehler 4: Mitarbeiter-Schulung vergessen. Wenn deine Mitarbeiter KI ohne klare Spielregeln nutzen, entstehen Risiken. Eine einfache interne Richtlinie (“Was darf in die KI, was nicht”) löst 90% der Probleme.

Fehler 5: Datenschutzerklärung nicht aktualisiert. Wenn du KI einsetzt, die Nutzerdaten verarbeitet (Chatbot, automatische E-Mail-Antwort), muss das in der Datenschutzerklärung stehen.

Checkliste: Dein DSGVO-KI-Quickcheck

Bevor du KI geschäftlich nutzt, frag dich:

  • Sind personenbezogene Daten im Spiel?
  • Wenn ja: kann ich anonymisieren?
  • Wenn nicht anonymisierbar: habe ich AVV + Rechtsgrundlage?
  • Ist der Anbieter DSGVO-transparent (Serverstandort, Zweckbindung)?
  • Sind meine Mitarbeiter geschult?
  • Ist meine Datenschutzerklärung auf dem aktuellen Stand?
  • Habe ich bei Hochrisiko-Anwendungen AI-Act-Vorgaben geprüft?

Wenn du alle sieben mit “Ja” beantwortest, bist du in der Regel DSGVO-konform.

Fazit: DSGVO und KI — komplex, aber handhabbar

Die gute Nachricht: Die meisten KI-Anwendungen im Alltag sind kein DSGVO-Problem. Blogs schreiben, Ideen sammeln, Texte überarbeiten — alles unkritisch.

Die andere Nachricht: Sobald echte Kundendaten ins Spiel kommen, braucht es klare Regeln. Anonymisieren ist der sicherste Weg. Für intensive Business-Nutzung: Business-Tarife, AVV, klare interne Richtlinien.

Mein pragmatischer Ansatz:

  1. Kostenlose/Pro-Versionen für unkritische Aufgaben
  2. Business-Tarife für alles mit Kundendaten
  3. Anonymisierung als Default
  4. Bei Unsicherheit: Fachanwalt oder Datenschutzbeauftragte

Für den praktischen Einsatz in deinem Business: KI für Selbständige: 7 konkrete Anwendungen zeigt dir konkrete Use Cases.

Häufige Fragen zu DSGVO und KI

Darf ich ChatGPT geschäftlich nutzen?

Ja, aber mit Vorsicht. Für allgemeine Aufgaben ohne personenbezogene Daten: unproblematisch. Für Kundendaten: ChatGPT Team/Enterprise mit AVV, nicht die kostenlose Version.

Ist Claude DSGVO-konform?

Claude Pro/Enterprise bietet klare Datenschutzzusagen (kein Training auf deinen Daten, AVV möglich). Die kostenlose Version nicht empfehlenswert für Business mit Kundendaten.

Brauche ich einen Datenschutzbeauftragten, wenn ich KI nutze?

Kommt auf dein Unternehmen an. Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, oder bei sensiblen Daten: ja. Für Einzelunternehmer mit wenigen Kundendaten: meist nicht.

Was bedeutet “Anonymisierung” konkret?

Daten so verändern, dass kein Rückschluss auf eine Person möglich ist. Name weglassen reicht nicht — auch eine Kombination aus Beruf + Stadt + Alter kann identifizierend sein. Im Zweifel: mehr wegnehmen.

Was passiert, wenn ich versehentlich Kundendaten in die kostenlose KI-Version eingebe?

Kein Weltuntergang, aber aufräumen: Chat-Historie löschen, betroffenen Kunden informieren (wenn der Vorfall relevant genug ist), intern Prozess verbessern. Bei größeren Vorfällen Meldung an Datenschutzbehörde.

Muss ich Kunden informieren, dass ich KI nutze?

Bei direkter Verarbeitung ihrer Daten ja, über die Datenschutzerklärung. Bei Hintergrundnutzung (du lässt KI einen Text schreiben, den du dann manuell anpasst) nein.

Was sagt der EU AI Act zu ChatGPT & Co.?

Die großen Anbieter werden als General-Purpose-KI klassifiziert. Sie müssen Transparenzpflichten erfüllen, technische Dokumentation bereitstellen und Content-Kennzeichnung ermöglichen. Für Nutzer ändert sich wenig — die Anbieter tragen den Hauptteil der Verpflichtungen.

← Alle Ratgeber-Artikel
Feedback geben →
© 2026 Flowfy — KI einfach erklärtMit ♥ gebaut in Bensheim